4 Princípios da Gestão de Riscos: o que são e como aplicar
Entenda os 4 princípios clássicos da gestão de riscos — evitar, reduzir, transferir e aceitar — e como a ISO 31000:2018 expande essa base para criar e proteger valor nas organizações
Quando falamos em princípios da gestão de riscos, a resposta mais direta vem das 4 estratégias clássicas de resposta ao risco: evitar, reduzir, transferir e aceitar. São elas que orientam a tomada de decisão diante de qualquer ameaça — seja operacional, financeira ou digital.
Mas há uma segunda camada importante: a ISO 31000:2018, norma internacional de referência para gestão de riscos, vai além dessas 4 estratégias e propõe 8 princípios normativos com foco na criação e proteção de valor.
Neste artigo, você vai entender as duas perspectivas e como aplicá-las no contexto corporativo.
Por que os princípios da gestão de riscos importam?
Riscos fazem parte de qualquer organização. Nenhuma empresa está imune a falhas técnicas, ataques cibernéticos, erros humanos ou mudanças de mercado. A questão não é eliminar os riscos — é saber como responder a eles de forma estruturada e proporcional.
Os princípios da gestão de riscos fornecem essa estrutura: um conjunto de critérios que orientam quais riscos priorizar, que ação tomar e como alocar recursos de segurança com eficiência.
Os 4 princípios clássicos da gestão de riscos
Esses quatro princípios são amplamente adotados em gestão empresarial, segurança da informação, cibersegurança e administração pública. Eles representam as quatro formas possíveis de responder a um risco identificado.
1. Evitar o risco
Consiste em eliminar a atividade, o processo ou a condição que origina o perigo. É a resposta mais radical — e a mais segura quando o risco é inaceitável e os danos potenciais superam qualquer benefício.
Quando aplicar: quando o custo ou o impacto do risco é alto demais para ser gerenciado por outras vias.
Exemplo prático em cibersegurança: desativar um sistema legado vulnerável que não pode ser atualizado.
2. Reduzir (ou Mitigar) o risco
Envolve adotar medidas preventivas e corretivas para diminuir a probabilidade de o evento acontecer ou minimizar seu impacto caso ocorra. É o princípio mais utilizado no dia a dia da gestão de riscos.
Quando aplicar: quando não é possível ou viável eliminar o risco, mas é possível torná-lo menos provável ou menos danoso.
Exemplos práticos:
- Em cibersegurança: implementação de controles de acesso, backups automáticos, sistemas de detecção de intrusão (IDS/IPS) e patches de segurança;
- Em segurança do trabalho: uso de EPIs, sinalização e treinamentos;
- Em projetos: planos de contingência e revisões periódicas.
3. Transferir o risco
Significa repassar o impacto financeiro ou a responsabilidade pelo risco a terceiros. Não elimina o risco em si, mas redistribui suas consequências.
Quando aplicar: quando o risco não pode ser evitado ou reduzido a um nível aceitável, e existe um terceiro disposto a assumir a responsabilidade.
Exemplos práticos:
- Contratação de seguro cibernético para cobrir custos de violações de dados;
- Inclusão de cláusulas de responsabilidade em contratos com fornecedores e parceiros;
- Terceirização de processos críticos com SLAs bem definidos.
4. Aceitar o risco
É assumir conscientemente a responsabilidade pelo risco e seu possível custo. Isso ocorre quando o custo para evitar, mitigar ou transferir o risco supera o próprio prejuízo esperado — ou quando o risco está dentro do nível de tolerância definido pela organização.
Quando aplicar: riscos de baixo impacto, baixa probabilidade ou custo de tratamento desproporcional ao dano.
Atenção: aceitar não significa ignorar. O risco aceito deve ser monitorado continuamente para que não mude de categoria com o tempo.
Como escolher entre os 4 princípios?
A escolha da estratégia certa depende de dois fatores principais: probabilidade de o risco ocorrer e impacto caso ele se materialize.
| Probabilidade | Impacto | Estratégia recomendada |
| Alta | Alto | Evitar ou Mitigar |
| Alta | Baixo | Mitigar ou Aceitar |
| Baixa | Alto | Transferir ou Mitigar |
| Baixa | Baixo | Aceitar |
Essa matriz é um ponto de partida. A decisão final deve considerar também o contexto do negócio, os recursos disponíveis e a tolerância a riscos definida pela liderança.
Os 8 princípios da ISO 31000:2018: a perspectiva normativa
Se os 4 princípios clássicos tratam de como responder a um risco, a ISO 31000:2018 propõe 8 princípios que tratam de como estruturar a gestão de riscos como uma prática organizacional. O propósito, segundo a norma, é claro:
“O propósito da gestão de riscos é a criação e proteção de valor.”
Os 8 princípios da ISO 31000:2018 são:
- Integrada — parte de todos os processos e atividades da organização;
- Estruturada e abrangente — processos claros que geram resultados mensuráveis e consistentes;
- Personalizada — proporcional ao contexto interno e externo da organização;
- Inclusiva — envolve as partes interessadas para uma gestão mais fundamentada;
- Dinâmica — antecipa, detecta e responde às mudanças no cenário de riscos;
- Melhor informação disponível — baseada em dados históricos, atuais e perspectivas futuras;
- Fatores humanos e culturais — reconhece que comportamento e cultura influenciam a gestão;
- Melhoria contínua — evolui com os aprendizados e experiências acumulados.
Princípios da gestão de riscos aplicados à cibersegurança
No contexto da gestão de risco cibernético, os 4 princípios clássicos funcionam como a espinha dorsal da etapa de resposta ao risco:
- Evitar: desativar sistemas vulneráveis ou descontinuar integrações inseguras;
- Mitigar: implementar controles como MFA, monitoramento de rede e planos de resposta a incidentes;
- Transferir: contratar seguro cibernético ou definir SLAs com fornecedores;
- Aceitar: monitorar riscos de baixo impacto sem ação imediata.
A ISO 31000 complementa essa visão ao exigir que a gestão de riscos cibernéticos seja integrada à estratégia da organização, dinâmica diante de novas ameaças e continuamente melhorada.
Perguntas frequentes sobre os princípios da gestão de riscos
Qual é o princípio mais importante da gestão de riscos?
Não existe um único mais importante — a escolha depende do contexto. Em geral, evitar é a resposta mais eficaz quando viável, mas na prática a mitigação é a mais aplicada por equilibrar custo e proteção.
Aceitar o risco é uma boa prática?
Sim, desde que seja uma decisão consciente e documentada, com monitoramento contínuo. Aceitar riscos sem análise prévia é negligência; aceitar com critério é gestão.
Qual a diferença entre mitigar e remediar um risco?
Mitigar reduz a probabilidade ou impacto do risco sem eliminá-lo. Remediar resolve a vulnerabilidade de forma total — por exemplo, aplicar um patch que corrige definitivamente uma falha de segurança.
A ISO 31000 é obrigatória?
Não. É uma norma de orientação, não de certificação. Mas é a principal referência internacional para estruturar programas de gestão de riscos e serve de base para auditorias e compliance em diversos setores.
Os 4 princípios valem para gestão de risco cibernético?
Sim. As 4 estratégias — evitar, mitigar, transferir e aceitar — são diretamente aplicáveis à gestão de risco cibernético e fazem parte do processo recomendado pelo NIST e pela ISO 31000.
A MJV pode te ajudar
A MJV apoia organizações na estruturação de programas de gestão de riscos alinhados às melhores práticas de mercado — dos princípios clássicos à ISO 31000, com aplicação prática em segurança, tecnologia e estratégia de negócio. Fale com nossos especialistas e veja como podemos ajudar o seu negócio.
Voltar